访问控制实验

 

实验拓扑：

 

 

实验要求：

1 如图R1，R2，R3。所示网段如图。R2 为企业边缘路由器，为了内网的安全需要有以下安全策略。

2 R2 能够telnet 到R3 的任意网段，但是R3 不能使用211.16.23.3 telnet 回R2，而使用210地址则可以。

3 拒绝所有通过R2 到R3 的追踪，但是需要保证R1 追踪R3 是能够正常工作，而反之则不行。

4 为了防止欺骗***，需要在边界路由器布置访问策略，按照RFC1918，和RFC2827 的知道思想来做。

5 安全策略不应该影响基本的连通性，网络中使用OSPF 协议。由于公司下午5 点以后不需要业务流通，希望5 点以后网络的流量不能进入到网络内。

实验过程：

R1(config)#int e0/0

R1(config-if)#ip add 212.16.12.1 255.255.255.0

R1(config-if)#no shu

R1(config-if)#exit

R1(config)#router ospf 1

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 212.16.12.0 0.0.0.255 a 0

R1(config-router)#exit

R2(config)#int e0/0

R2(config-if)#ip add 212.16.12.2 255.255.255.0

R2(config-if)#no shu

R2(config-if)#exit

R2(config)#int e0/1

R2(config-if)#ip add 211.16.23.2 255.255.255.0

R2(config-if)#no shu

R2(config-if)#exit

R2(config)#router ospf 1

R2(config-router)#router-id 2.2.2.2

R2(config-router)#net 212.16.12.0 0.0.0.255 a 0

R2(config-router)#net 211.16.23.0 0.0.0.255 a 0

R3(config)#int e0/1

R3(config-if)#ip add 211.16.23.3 255.255.255.0

R3(config-if)#no shu

R3(config-if)#exit

R3(config)#int loop 0

R3(config-if)#ip add 210.10.10.10 255.255.255.0

R3(config-if)#no shu

R3(config-if)#exit

R3(config)#router ospf 1

R3(config-router)#router-id 3.3.3.3

R3(config-router)#net 211.16.23.0 0.0.0.255 a 0

R3(config-router)#net 210.10.10.0 0.0.0.255 a 0

第二步的过程

R2(config)#ip access-list extended D_TEL

R2(config-ext-nacl)#deny tcp host 211.16.23.3 host 211.16.23.2 eq 23

R2(config-ext-nacl)#deny tcp host 211.16.23.3 host 212.16.12.2 eq telnet

R2(config-ext-nacl)#permit ip any any

R2(config)#int e0/1

R2(config-if)#ip access-group D_TEL in

 

 

 

第三步的过程

拒绝 R2 到R3 的traceroute

R2(config)#ip access-list extended D_TRA

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 unreachable

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 time-exceeded

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 time-exceeded

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 unreachable

R2(config-ext-nacl)#permit ip any any

拒绝 R3 到R1 的traceroute

R2(config)#ip access-list extended D_TRA2

R2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 time-exceeded

R2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 unreachable

R2(config-ext-nacl)#permit ip any any

R2(config)#int e0/0

R2(config-if)#ip access-group D_TAR2 in

R2(config)#int e0/1

R2(config-if)#ip access-group D_TRA in

实验效果截图

 

 

 

 

第四步的过程

NOTE：（RFC1918 规定的私有IP，RFC2827 规定的是内网已经使用的IP）

R2(config)#ip access-list extended D_RFC1918

R2(config-ext-nacl)#remark RFC1918

R2(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any

R2(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any

R2(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any

R2(config-ext-nacl)# permit ip any any

R2(config)#int e0/1

R2(config-if)#ip access-group D_RFC1918 in

R2(config)#ip access-list extended D_RFC2827

R2(config-ext-nacl)#deny ip 212.16.12.0 0.0.0.255 any

R2(config-ext-nacl)#permit ip any any

R2(config)#int e0/1

R2(config-if)#ip access-group RFC2827 in

第五步的过程

R2(config)#time-range DENY

R2(config-time-range)#periodic daily 17:00 to 23:59

R2(config-time-range)#periodic daily 00:00 to 08:00

R2(config)#access-list 101 deny ip any any time-range DENY

R2(config)#int e0/1

R2(config-if)#ip access-group 101 in

实验效果截图：

我们现在来把时间修改到18：00

R2#clock set 18:00:00 oct 12 2013

 

时间修改后OSPF 邻居自动DOWN。